Na topie

Nie tylko WordPress jest winny zmasowanych ataków

Autor:

więcej artykułów ze strefy:
Technologie i Firma

WordPress szybko naprawił swój błąd, jednak właściciele dziesiątek tysięcy stron nie przyjęli jego wyciągniętej ręki.

Nie tylko WordPress jest winny zmasowanych ataków

A A

WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.

Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji. 

Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”. 

Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.

Źródło: WPzen, WordPress, Securi.net

Odsłon: 2453 Skomentuj newsa
Komentarze

6

Udostępnij
  1. BrumBrumBrum
    Oceń komentarz:

    3    

    Opublikowano: 2017-03-13 11:46

    kolejna wtopa, to REST API w WP nie wymaga autoryzacji ???? ręce mi opadły. czy pomimo aktywacji REST API jest nie do wycięcia na WAN, z pozostawieniem wyłącznie LAN ? czy nadal w miarę bezpieczny WP to taki schowany za serwerem WEB który wszystko będzie proxował i filtrował?

    Skomentuj

  2. Ladros
    Oceń komentarz:

    -3    

    Opublikowano: 2017-03-13 13:26

    Gdzie tu logika, żeby wyłączać aktualizacje będąc na wadliwej wersji?

    Skomentuj

  3. Marucins
    Oceń komentarz:

    1    

    Opublikowano: 2017-03-13 13:33

    U nich zawsze to wygląda tak
    "naprawiono pewne błędy związane z bezpieczeństwem."

    Skomentuj

  4. mojeprogramy.com
    Oceń komentarz:

    1    

    Opublikowano: 2017-03-13 14:31

    Jak to jest...:
    1 .brak konfiguracji zabezpeiczen WP tak w ogóle
    2. brak kopii
    3. aktualizacje WP raz na jakiś czas a nie auto-aktualziacje bo zwsze moze coś sie zaciąć

    A jak dla mnie WP działa dobrze, mam 20 stron z różnymi wersjami WP i żadna nie została zaatakowana w ostaniach 4-5 latach

    Skomentuj

    1. adriandj83
      Oceń komentarz:

      1    

      Opublikowano: 2017-03-13 19:19

      Mowa tu o dużych stronach, które są warte ataku, a nie Twoje, które zapewne przegląda kilka tysięcy osób jak nie mniej. Poza tym nie wiem co trzeba być za programistą, by blokować aktualizacje, ja pierwsze co kiedy robię w pracy stronę na silniku wordpressa, to zawsze aktualizujemy wszystko co w nim możliwe, aby był aktualny, nawet już po wykonaniu zlecenia co jakiś czas wchodzimy na strony włascicieli, by je zaktualizować.

      Skomentuj

  5. jkaminski
    Oceń komentarz:

    1    

    Opublikowano: 2017-03-14 09:23

    Nowa wersja - nowa dziura :)

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!